Wat een ‘oud’ boek je kan opleveren aan inzichten. Door verwijzingen in andere boeken kwam ik terecht bij ‘The Cuckoo’s Egg’ van Cliff Stoll uit 1989. De volledige titel van het boek is ‘The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage’, en dat is, ondanks de lengte, geen woord te veel. Het boek wordt aangeprezen als het verhaal van een van de eerste statelijke hacks uit de geschiedenis. Het leest als een trein: een spannend relaas van de eenzame maar vasthoudende jacht op een hacker die lange tijd zijn gang kon gaan in de VS.
Het waargebeurde, autobiografische verhaal rond astronoom en systeembeheerder Cliff Stoll speelt in 1986 in het Lawrence Berkeley Laboratory in Californië, een gerenommeerd onderzoekscentrum op het gebied van onder andere natuur- en scheikunde en astronomie.
Op een dag wordt daar een disbalans van welgeteld 75 cent ontdekt in het boekhoudprogramma van de pc’s (onderzoekers moesten betalen voor hun computergebruik, 300 dollar per uur). Stoll moet het als junior onderzoeken. Wat eerst en saai routineklusje lijkt, mondt uit in een langslepende zaak waarin Stoll zich vastbijt vanuit de overtuiging dat er sprake is van een hacker. Zelfs wanneer zijn gelijk eindelijk onomstotelijk vast komt te staan, moet hij als een Don Quichote niet alleen een eenzaam gevecht voeren tegen een haast ongrijpbare hacker, maar ook tegen een groot gebrek aan middelen, tijd en interesse.
Een spannend verhaal, maar wat het boek in mijn ogen écht bijzonder maakt, is dat het laat zien dat er op het gebied van digitale veiligheid de laatste pakweg veertig jaar erg weinig veranderd is. Problemen waar we nu mee worstelen, blijken bijna een halve eeuw terug te gaan.
Aan de hand van treffende citaten uit het boek, licht ik er een paar onderwerpen uit:
- Onvoldoende bewustzijn over de risico’s
- Softwareveiligheid
- Wachtwoordveiligheid
- Onduidelijke verantwoordelijkheden
1. Onvoldoende bewustzijn over de risico’s
De AIVD en MIVD prediken het al jaren: digitale veiligheid begint met het bewustzijn dat je wel degelijk een doelwit kunt zijn van hackers. Je bezit als bedrijf, onderwijs- of onderzoeksinstelling ongetwijfeld kennis of informatie die voor anderen aantrekkelijk is. Je moet alleen weten wát die kennis is, waar die ligt en hoe je die kunt beveiligen. De geheime dienst constateerde in de Kwetsbaarheidsanalyse Spionage (2010) dat organisaties zich niet of onvoldoende realiseren wat de waarde is van de informatie waarover zij beschikken. Bij universiteiten speelt dit onderwerp de laatste jaren in het bijzonder. AIVD-baas Akerboom verbaasde zich in de Tweede Kamer over het gebrekkige digitale veiligheidsbewustzijn in de academische sector, waar een open academisch klimaat te vaak belangrijker wordt gevonden dan het beschermen van essentiële kennis.
Wat dat betreft is er niet veel veranderd sinds de tijd waarin het boek speelt: toen in het Lawrence Berkeley Lab - verbonden aan de University of California - de eerste aanwijzingen aan het licht kwamen dat er sprake kon zijn van een hacker, was er niemand in het academische onderzoekscentrum die zich er echt druk om kon maken, zelfs de auteur (nog) niet. Want ja, wat wij doen is toch niet interessant voor hackers?
“I kept doubting that a hacker was fooling around in my system. Nobody’s interested in particle physics. (...) There’s nothing special here to tempt a hacker (...). Indeed, the best part of working at Lawrence Berkeley Labs was the open, academic atmosphere.”
Wij zijn niet interessant genoeg voor hackers, daarom lopen wij geen risico. Veiligheidsmaatregelen staan het academische klimaat in de weg. Of, zoals Cliff Stoll van een collega te horen krijgt:
“To tighten up security would make everyone unhappy.”
Veertig jaar geleden een gangbare denkwijze, nu nog steeds.
2. Softwareveiligheid
Het gebruik van software is “inherent onveilig”, concludeerde de Onderzoeksraad voor de Veiligheid in 2021 in het onderzoek naar de crisis rond thuiswerksoftware Citrix. Het hergebruik van oude ‘onderdelen’ in nieuwe software, de programmeertaal en inconsistenties in de software-architectuur zijn volgens de OVV de hardnekkige oorzaken van de onveiligheid van software. Opmerkelijke bevindingen, gezien het feit dat dezelfde problemen veertig jaar geleden al speelden en we er kennelijk nog niet in geslaagd zijn daar iets op te verzinnen. Het Lawrence Berkely Laboratory maakte bijvoorbeeld gebruik van Gnu-Emacs software:
“Gnu-Emacs (...) a foundation upon which other programs can be built. (...) Just one problem: there’s a bug in that software. (...) Gnu was the hole in our system’s security. A subtle bug in an obscure section of some popular software installed blindly by our systems programmers”
Is het een gebrek aan verantwoordelijkheid bij softwareontwikkelaars? De OVV doet in haar rapport een niet al te subtiele vingerwijzing door te stellen dat veilige software de verantwoordelijkheid is van de fabrikant, dat veilige software het resultaat is van partijen die “daadwerkelijk hun eigen verantwoordelijkheid nemen” - om te concluderen dat veilige software niet bestaat. Ergo: software fabrikanten nemen geen verantwoordelijkheid voor de onveiligheid van hun producten. Drie keer raden waar Cliff Stoll veertig jaar geleden al tegenaan liep.
“Elxsi was [the problem]. They sold their computers with the security features disabled. After you buy their machine, it’s up to you to secure it.”
“They’ve got a hole you could drive a truck through. (...) It’s in every Vax computer from Digital Equipment Corporation that runs the VMS operating system Version 4.5. (...) Isn’t DEC doing something about it? Oh sure, they’re sending out patches. But they’re real quiet about it.”
Dit ‘patchen’, of pleisters plakken, doen softwarefabrikanten nog steeds, stelt de OVV vast, hoewel soms schoorvoetend en tergend langzaam. Maar pleisters plakken “lost het achterliggende probleem niet op. Het inherente veiligheidsprobleem blijft.”, aldus de Raad.
3. Wachtwoordveiligheid
Je kunt nog zoveel doen aan veilige software, als de gebruiker er vervolgens op een onverantwoorde manier mee omgaat, ben je alsnog kwetsbaar. Menselijke fouten zijn zo’n 9 van de 10 keer de oorzaak van digitale incidenten. De mens is hardleers, blijkt. Bijvoorbeeld: we gebruiken nog altijd vaak hetzelfde wachtwoord voor veel verschillende toepassingen en wijzigen wachtwoorden niet vaak, aldus onderzoek naar veilig wachtwoordgebruik van het Kenniscentrum Psychologie en Economisch Gedrag van de Universiteit Leiden.
Cliff Stoll kwam daar veertig jaar geleden al achter:
“This saved a bit of time: people wouldn’t need to present more than one password when using several computers. ”
“The system password hadn’t been changed for a couple years.”
En geloof het of niet, tegenwoordig zijn de meest gebruikte wachtwoorden “password”, “123456” en “guest”. Facepalm. Maar wel fijn consistent, Cliff Stoll liep namelijk tegen precies hetzelfde probleem (en wachtwoorden) aan:
“With an account name of “guest” and a password of “guest”, anyone could use the system”
De conclusie laat zich het beste vatten in de uitspraak die in het boek aan toenmalig onderdirecteur van de NSA Harry Daniels wordt toegewezen:
“Any system can be insecure. All you have to do is stupidly manage it.”
4. Onduidelijke verantwoordelijkheden
Als het over digitale veiligheid gaat, zijn de taken en verantwoordelijkheden “versnipperd over allerlei ministeries”. “Er is geen overheidsorgaan dat waakt over de veiligheid van de publieke digitale ruimte”. Tel daarbij een “doorgeschoten bureaucratie” op en je krijgt een overheid die niet meer effectief kan optreden in het digitale domein. Verzuchtingen in de NRC van niemand minder dan Inge Philips, zwaargewicht op gebied van digitale veiligheid, met op haar cv onder anderen de AIVD, Politie en Fox-IT. Organisaties werken langs elkaar heen en er is een groot gebrek aan centrale sturing. De Cyber Security Raad, belangrijkste adviesorgaan van de regering op dit gebied, kwam tot dezelfde conclusies.
Met een versnipperd bestuurlijk landschap waarin niemand centrale sturing of verantwoordelijkheid kon of wilde nemen, had Cliff Stoll in 1986 al te maken:
“First you call the FBI, then the CIA, now the NSA. (...) Sure, they all listened to my troubles, but no one would lift a finger. (...) Every agency seemed to have a good reason to do nothing.”
“everyone pointed their finger at someone else. (...) Nobody would take responsibility”
“...the others discussed national policy on computer security. Seems that there wasn’t any. Through the whole meeting, people kept asking: “Who’s in charge?”
Kennelijk heeft veertig jaar versnippering nog niet geleid tot het inzicht dat enige centrale sturing misschien een goed idee zou zijn.
Tot slot
Waarom zijn er nog steeds geen oplossingen voor problemen die al tientallen jaren bekend zijn? Waarom bestaan die problemen überhaupt nog? Is de cybersecuritywereld zo conservatief? Zijn de problemen verworden tot de cultuur van een sector, waar je toch niks aan kunt doen? Ik heb geen idee. Wel lijkt het mij duidelijk dat dit boek, veertig jaar na dato, nog steeds met de vinger op de zere plek drukt. The Cuckoo's Egg is daarmee verplicht leesvoer voor beleidsbepalers op gebied van digitale veiligheid. Lees Cliff Stoll, en ga aan de slag.